
[network] AWS 네트워킹 한눈에
VPC, 서브넷, 게이트웨이, 피어링… 네트워크 서비스가 너무 많다면, 먼저 전체 지도를 펼쳐 어디에 뭐가 있는지부터 봅니다.
One-Line Summary
네트워킹 문제는 대부분 ① 나만의 사설 네트워크를 어떻게 설계하나(VPC·서브넷·라우팅), ② 그 안팎을 어떻게 안전하게 연결하나(IGW·NAT·엔드포인트·피어링·VPN·Direct Connect), ③ 무엇으로 접근을 통제하나(보안 그룹·NACL), ④ 이름을 IP로 어떻게 바꾸나(Route 53 DNS) 로 나눠 보면 풀린다.
이 카테고리의 범위
로드 밸런싱(ELB), CDN(CloudFront), 경로 최적화(Global Accelerator)는 compute 노트에 있으므로 여기서는 교차 링크만 한다. network 카테고리는 VPC 내부 설계 · 연결성 · 접근 통제 · DNS에 집중한다.
Abbreviations
| 약어 | 풀네임 | 의미 |
|---|---|---|
VPC | Virtual Private Cloud | AWS 안의 격리된 가상 사설 네트워크(리전 단위) |
Subnet | Subnetwork | VPC를 나눈 하위 구획(단일 AZ) |
IGW | Internet Gateway | VPC를 인터넷에 연결하는 관문 |
NAT | Network Address Translation | 프라이빗 서브넷의 아웃바운드 인터넷 대행 |
NACL | Network Access Control List | 서브넷 단위 stateless 방화벽 |
SG | Security Group | 인스턴스(ENI) 단위 stateful 방화벽 |
pcx | VPC Peering | 두 VPC를 1:1로 사설 연결 |
TGW | Transit Gateway | 다수 VPC·온프렘을 허브로 연결 |
DX | Direct Connect | 온프레미스와 전용 물리 회선 |
VGW | Virtual Private Gateway | VPC 쪽 VPN/DX 종단 게이트웨이 |
AZ | Availability Zone | 리전 안의 독립된 데이터센터 묶음 |
Big Picture — 요구사항 → 서비스
| 요구사항 | 먼저 떠올릴 것 |
|---|---|
| AWS 안에 격리된 나만의 사설 네트워크 | VPC |
| VPC를 용도별 작은 네트워크로 분할 | Subnet (public / private) |
| 서브넷의 트래픽 경로 결정 | Route Table |
| VPC를 인터넷에 연결(인바운드/아웃바운드) | Internet Gateway (IGW) |
| 프라이빗 서브넷의 아웃바운드 인터넷(IPv4) | NAT Gateway |
| 프라이빗 서브넷의 아웃바운드 인터넷(IPv6) | Egress-only IGW |
| 인스턴스 단위 방화벽(stateful) | Security Group |
| 서브넷 단위 방화벽(stateless, deny 가능) | Network ACL |
| 인터넷 안 거치고 AWS 서비스(S3 등) 접근 | VPC Endpoint (Gateway / Interface / PrivateLink) |
| 두 VPC를 사설로 직접 연결(소수) | VPC Peering |
| 다수 VPC·온프렘을 허브로 연결(확장) | Transit Gateway |
| 온프레미스와 암호화 터널 연결(빠르게·저렴) | Site-to-Site VPN |
| 온프레미스와 전용 물리 회선(일관·대용량) | Direct Connect (DX) |
| 도메인 이름 → IP 변환, 라우팅 정책 | Route 53 |
| VPC 트래픽 흐름 로깅/감사 | VPC Flow Logs |
한 장으로 보는 VPC 아키텍처
아래 그림 하나에 이 카테고리의 대부분이 들어있다 — VPC 경계, AZ별 public/private 서브넷, IGW, NAT, Multi-AZ DB, Gateway Endpoint.
Internet
│
┌───┴───┐
│ IGW │
└───┬───┘
│
┌─ VPC 10.0.0.0/16 ─────────────────────────────────────────┐
│ ┌─ AZ-a ──────────────────┐ ┌─ AZ-c ──────────────────┐ │
│ │ ┌────────────────────┐ │ │ ┌────────────────────┐ │ │
│ │ │ public 10.0.1.0/24 │ │ │ │ public 10.0.3.0/24 │ │ │
│ │ │ ALB · NAT GW │ │ │ │ ALB · NAT GW │ │ │
│ │ └────────────────────┘ │ │ └────────────────────┘ │ │
│ │ │ │ │ │ │ │
│ │ ▼ │ │ ▼ │ │
│ │ ┌─────────────────────┐ │ │ ┌─────────────────────┐ │ │
│ │ │ private 10.0.2.0/24 │ │ │ │ private 10.0.4.0/24 │ │ │
│ │ │ App EC2 │ │ │ │ App EC2 │ │ │
│ │ │ RDS (primary) │ │ │ │ RDS (standby) │ │ │
│ │ └─────────────────────┘ │ │ └─────────────────────┘ │ │
│ └─────────────────────────┘ └─────────────────────────┘ │
│ │
│ Gateway Endpoint ──► S3 / DynamoDB │
└───────────────────────────────────────────────────────────┘
- public 서브넷(라우트
0.0.0.0/0 → IGW): ALB·NAT Gateway 같은 인터넷 접점. - private 서브넷(IGW 경로 없음): App·DB. 아웃바운드는 NAT 경유.
- 여러 AZ에 대칭 배치 → 한 AZ가 죽어도 서비스 유지(HA). S3/DynamoDB는 Gateway Endpoint로 NAT 없이 사설 접근.
헷갈리는 선택 정리 (시험 단골 비교)
네트워크 문제는 대개 비슷해 보이는 두 서비스 중 하나를 고르는 형태다. 아래 6개 축이 가장 자주 나온다.
1) 인터넷 연결: IGW vs NAT vs Egress-only IGW
| 방향 | 대상 | 배치 | |
|---|---|---|---|
| IGW | 인바운드+아웃바운드 | VPC 전체(퍼블릭 서브넷) | VPC에 부착 |
| NAT Gateway | 아웃바운드만(IPv4) | 프라이빗 서브넷 | 퍼블릭 서브넷에 |
| Egress-only IGW | 아웃바운드만(IPv6) | 프라이빗 서브넷 | VPC에 부착 |
"프라이빗 서버가 패치·외부 API로 나가야 하지만 외부에서 들어오는 건 막고 싶다" → NAT(IPv4) / Egress-only IGW(IPv6).
2) VPC 연결: Peering vs Transit Gateway
| VPC Peering | Transit Gateway | |
|---|---|---|
| 구조 | 1:1, 비전이적(non-transitive) | 허브-스포크, 전이적 |
| 규모 | 소수 VPC | 다수 VPC·온프렘·멀티계정 |
| 비용/지연 | 저렴, 최저 지연 | 관리 단순(대신 시간당 요금) |
"VPC가 3~4개 넘고 온프렘까지 얽힌다 / 메시가 폭발한다" → TGW. "딱 두 VPC만 붙인다" → Peering.
3) 온프레미스 연결: Site-to-Site VPN vs Direct Connect
| VPN | Direct Connect | |
|---|---|---|
| 경로 | 인터넷 위 암호화 터널 | 전용 물리 회선 |
| 지연·대역폭 | 변동적 | 일관·대용량 |
| 구축 속도/비용 | 빠름·저렴 | 수주~수개월·고비용 |
| 암호화 | 기본 내장(IPsec) | 기본 없음(필요 시 VPN 병행) |
"즉시·저렴·암호화" → VPN. "일관된 저지연·대용량·규정상 전용선" → DX(+백업으로 VPN).
4) AWS 서비스 사설 접근: Gateway Endpoint vs Interface Endpoint
| Gateway Endpoint | Interface Endpoint (PrivateLink) | |
|---|---|---|
| 대상 | S3·DynamoDB 전용 | 대부분의 AWS/서드파티 서비스 |
| 구현 | 라우트 테이블 항목 | 서브넷에 ENI(사설 IP) |
| 비용 | 무료 | 시간당 + 데이터 요금 |
"S3/DynamoDB를 NAT 없이 사설로" → Gateway Endpoint(무료). "그 외 서비스나 온프렘에서 사설 IP로" → Interface Endpoint.
5) 접근 통제: Security Group vs NACL
| Security Group | NACL | |
|---|---|---|
| 단위 | 인스턴스(ENI) | 서브넷 |
| 상태 | stateful(응답 자동 허용) | stateless(응답도 규칙 필요) |
| 규칙 | allow만 | allow + deny |
"특정 악성 IP를 차단" → NACL(deny 가능). "계층 간 접근을 IP 없이" → SG 참조. 상세는 security-group-vs-nacl.
6) public vs private 서브넷은 무엇이 결정하나
서브넷 이름이 아니라 연결된 라우트 테이블에
0.0.0.0/0 → IGW경로가 있느냐가 결정한다. 상세는 route-table.
Common Wrong Directions
| 오답 방향 | 왜 부족한가 |
|---|---|
| 다수 VPC·온프렘 연결을 Peering 메시로 | 연결 수가 폭발 → Transit Gateway |
| Direct Connect면 암호화까지 된다고 봄 | DX는 기본 암호화 없음 → 필요 시 VPN 병행 |
| S3 사설 접근에 Interface Endpoint(비용) | S3/DynamoDB는 Gateway Endpoint(무료) |
| 프라이빗 아웃바운드를 IGW로 해결 | 프라이빗은 NAT(IPv4)/Egress-only IGW(IPv6) |
| 특정 IP 차단을 SG로 | SG는 allow-only → NACL deny |
| "public 서브넷"이면 자동 인터넷 연결 | 라우트 테이블 IGW 경로 유무가 결정 |
| ELB/CloudFront를 network 노트에서 찾음 | 이들은 compute 카테고리 |
Exam Triggers
| 문제에서 이런 표현이 나오면 | 떠올릴 것 |
|---|---|
| "isolated private network in AWS" | VPC |
| "private instances need outbound internet" | NAT Gateway (IPv6는 Egress-only IGW) |
| "connect many VPCs and on-prem centrally" | Transit Gateway |
| "connect just two VPCs privately" | VPC Peering |
| "encrypted tunnel over internet to on-prem, quickly" | Site-to-Site VPN |
| "consistent low-latency dedicated line to on-prem" | Direct Connect |
| "access S3/DynamoDB privately, no NAT, no cost" | Gateway Endpoint |
| "access other AWS services privately via ENI" | Interface Endpoint (PrivateLink) |
| "block a specific malicious IP" | NACL deny |
| "record/audit VPC traffic (ACCEPT/REJECT)" | VPC Flow Logs |
| "route domain names with latency/failover policy" | Route 53 |
Memory Sentence
네트워크는 VPC(리전)·Subnet(AZ)로 설계하고 라우트 테이블로 흐름을 정한다. 인터넷은 IGW, 프라이빗 아웃바운드는 NAT(IPv4)·Egress-only IGW(IPv6). VPC 연결은 소수면 Peering·다수면 TGW, 온프렘은 즉시·저렴이면 VPN·일관대용량이면 DX(암호화는 별도). AWS 서비스 사설 접근은 S3/DDB면 Gateway Endpoint(무료)·그 외 Interface Endpoint. 접근 통제는 인스턴스 SG(stateful)·서브넷 NACL(stateless, deny), 트래픽 감사는 Flow Logs, 이름 해석은 Route 53.
Notes To Expand
- VPC & Subnets concept note
- Internet Gateway (IGW) concept note
- Route Table concept note
- NAT Gateway concept note
- Security Group vs Network ACL concept note
- VPC Endpoint & PrivateLink concept note
- VPC Peering concept note
- Transit Gateway concept note
- Site-to-Site VPN & Client VPN concept note
- Direct Connect (DX) concept note
- Route 53 concept note
- VPC Flow Logs concept note
References
댓글
아직 댓글이 없습니다.